Amikor a fejlesztők figyelmet szentelnek az etikus hackereknek, egy új dimenzió nyílik meg a biztonság terén. Ezek a szakemberek nem csupán a rendszerek gyengeségeit azonosítják, hanem aktívan hozzájárulnak a technológiai környezet megerősítéséhez is. Az

Több ezer WordPress weboldalon használják a Fancy Product Designer nevű bővítményt, ám sajnos felfedeztek benne két komoly biztonsági rést.

A Fancy Product Designer bővítmény fejlesztői nem a felelős szoftverfejlesztés mintaképei voltak, miután figyelmen kívül hagyták az etikus hibabejelentést, és nem tettek semmit a felfedezett sebezhetőségek orvoslására. A helyzet tükrözi a felelősségteljes hozzáállás hiányát, ami aggasztó a felhasználók biztonsága szempontjából.

A vizsgálatot a Patchstack biztonsági szakértője, Rafie Muhammad végezte, még 2024 márciusában, a szóban forgó WordPress kiegészítővel kapcsolatban. Március 17-én két jelentős sebezhetőségre bukkant, amelyek komoly fenyegetést jelentettek a felhasználók számára. Ezt követően, március 18-án, a Patchstack hivatalos értesítést küldött a Fancy Product Designer fejlesztőcsapatának a felfedezett biztonsági rések kapcsán, mellékelve a részletes hibaleírásokat is. Sajnos, a Patchstack erre az értesítésre nem kapott választ. Érdemes megjegyezni, hogy a novemberben kiadott 6.4.3-as verzió még mindig tartalmazta ezeket a sebezhetőségeket.

A Patchstack végül úgy határozott, hogy nem halogat tovább, és felfedi az általuk azonosított sebezhetőségeket. Bár nem osztották meg az összes technikai részletet, a nyilvánosságra hozott információk már elegendőek lehetnek ahhoz, hogy a kibertámadók kidolgozzák saját exploitjaikat a felfedezett hibák kihasználására.

A több mint 20 ezer alkalommal eladott Fancy Product Designer bővítményt a következő két sebezhetőség veszélyezteti:

Az előzőleg említett probléma jogosulatlan távoli kódfuttatáshoz vezethet, míg a második eset jogosulatlan hozzáférést és adatmanipulációt eredményezhet.